Condividi tramite


Controllo degli accessi in base al ruolo di Intune per i client collegati al tenant

Si applica a: Configuration Manager (Current Branch)

A partire da Configuration Manager versione 2207, è possibile usare il controllo degli accessi in base al ruolo di Intune durante l'interazione con i dispositivi collegati al tenant dall'interfaccia di amministrazione di Microsoft Intune. Ad esempio, quando si usa Intune come autorità di controllo degli accessi in base al ruolo, un utente con il ruolo Operatore help desk non necessita di un ruolo di sicurezza assegnato o autorizzazioni aggiuntive da Configuration Manager. Il controllo degli accessi in base al ruolo di Intune gestisce le autorizzazioni per tutte le pagine dei dispositivi collegate al cloud nell'interfaccia di amministrazione di Microsoft Intune, ad esempio sequenza temporale del dispositivo, CMPivot e script.

Importante

Attualmente, qualsiasi imposizione del controllo degli accessi in base al ruolo di Intune per la visualizzazione e l'esecuzione di azioni nei dispositivi collegati al tenant dall'interfaccia di amministrazione di Microsoft Intune è facoltativa. È consigliabile che tutti gli amministratori con ambienti di Configuration Manager connessi al cloud inizino a verificare le autorizzazioni di controllo degli accessi in base al ruolo da Intune.

I tre passaggi generali per configurare Intune come autorità di controllo degli accessi in base al ruolo per i dispositivi collegati al tenant sono:

Prerequisiti

Limitazioni

  • Attualmente l'ambito non è supportato quando si usa solo il controllo degli accessi in base al ruolo di Intune per la visualizzazione e l'esecuzione di azioni nei dispositivi collegati al tenant dall'interfaccia di amministrazione di Microsoft Intune.
  • Attualmente, la pagina Aggiornamenti software non è disponibile per gli utenti solo cloud quando si usa l'anello di aggiornamento anticipato di Configuration Manager versione 2207.

Disabilitare l'imposizione del controllo degli accessi in base al ruolo di Configuration Manager per i client collegati al cloud

Per usare il controllo degli accessi in base al ruolo di Intune per il collegamento al tenant anziché per il controllo degli accessi in base al ruolo di Configuration Manager, usare le istruzioni seguenti:

  1. Dalla console di Configuration Manager passare a Amministrazione>Cloud Services>Cloud Attach.

  2. La posizione dell'opzione di controllo degli accessi in base al ruolo varia a seconda che l'ambiente sia già collegato al cloud o meno.

    • Se l'ambiente è già collegato al cloud, aprire le proprietà per CoMgmtSettingsProd. Se i dispositivi non sono caricati nell'interfaccia di amministrazione, configurare prima questa opzione. Per altre informazioni, vedere Abilitare il collegamento al tenant.
    • Se l'ambiente non è collegato al cloud, selezionare Configura collegamento cloud per aprire la configurazione guidata di Cloud Attach.
  3. Nella scheda Configura caricamento o nella pagina della procedura guidata deselezionare la casella di controllo per l'opzione seguente sotto l'intestazione Controllo di accesso in base al ruolo :

    Applicare il controllo degli accessi in base al ruolo di Configuration Manager per le richieste della console cloud che interagiscono con Configuration Manager

  4. Scegliere OK per salvare la modifica alle proprietà CoMgmtSettingsProd oppure continuare per completare la procedura guidata di collegamento al cloud.

Screenshot delle proprietà CoMgmtSettingsProd in Configuration Manager. Nello screenshot viene visualizzata la scheda configura caricamento con una casella rossa che delinea la sezione controllo degli accessi in base al ruolo.

Abilitare il controllo degli accessi in base al ruolo da Intune

Per abilitare Intune per gestire le autorizzazioni utente per i dispositivi collegati al cloud, seguire questa procedura:

  1. Aprire l'interfaccia di amministrazione di Microsoft Intune e accedere come utente con l'autorizzazione Ruoli/Aggiornamento . Per altre informazioni sull'autorizzazione, vedere Autorizzazioni dei ruoli personalizzate in Intune.
  2. Selezionare Amministrazione tenant>Connettori e tokens>Microsoft Endpoint Configuration Manager.
  3. Nel banner selezionare È anche possibile gestire le autorizzazioni utente da Intune. Fare clic qui per altre informazioni su questa opzione.
  4. Viene visualizzato il riquadro a comparsa Usa controllo degli accessi in base al ruolo di Intune .
  5. Selezionare per l'opzione Usa controllo degli accessi in base al ruolo di Intune e quindi scegliere Applica.
  6. La modifica potrebbe richiedere circa 10 minuti.

Screenshot della pagina Connettori e token di Microsoft Configuration Manager nell'interfaccia di amministrazione di Microsoft Intune. Il riquadro a comparsa Usa controllo degli accessi in base al ruolo di Intune viene visualizzato nello screenshot.

Verificare le autorizzazioni di controllo degli accessi in base al ruolo da Intune

Dopo aver impostato Intune sull'autorità di controllo degli accessi in base al ruolo, verificare le autorizzazioni per i ruoli. Se necessario, è possibile aggiungere queste autorizzazioni ai ruoli personalizzati creati in Intune.

  1. Aprire l'interfaccia di amministrazione di Microsoft Intune e accedere.
  2. Selezionare Ruoli di amministrazione> tenant.
  3. Selezionare un ruolo, ad esempio Gestione applicazioni, ed esaminare le autorizzazioni elencate per i dispositivi collegati al cloud. Se necessario, modificare le autorizzazioni per tutti i ruoli personalizzati creati in Intune.

Le autorizzazioni di Intune seguenti controllano l'accesso ai dispositivi collegati al cloud di Configuration Manager:

Autorizzazione Descrizione Ruoli predefiniti di Intune con l'autorizzazione
Dispositivi collegati al cloud\Visualizza raccolte Visualizza la pagina Raccolte per i dispositivi collegati al cloud di Configuration Manager Application Manager, Endpoint Security Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Policy Profile Manager, Operatore help desk
Dispositivi collegati al cloud\Visualizza Esplora risorse Visualizza la pagina Esplora risorse per i dispositivi collegati al cloud di Configuration Manager Application Manager, Endpoint Security Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Policy Profile Manager, Operatore help desk
Dispositivi collegati al cloud\Visualizza sequenza temporale Visualizza la pagina Sequenza temporale per i dispositivi collegati al cloud di Configuration Manager Application Manager, Endpoint Security Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Policy Profile Manager, Operatore help desk
Dispositivi collegati al cloud\Visualizza aggiornamenti software Visualizza la pagina Aggiornamenti software per i dispositivi collegati al cloud di Configuration Manager Application Manager, Endpoint Security Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Operatore help desk
Dispositivi collegati al cloud\Visualizza script Visualizza la pagina Script per i dispositivi collegati al cloud di Configuration Manager Endpoint Security Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Policy Profile Manager, Operatore help desk
Dispositivi collegati al cloud\Esegui script Visualizza l'azione Esegui script e consente all'utente di eseguire script nei dispositivi collegati al cloud di Configuration Manager Amministratore dell'istituto di istruzione, operatore help desk
Dispositivi collegati al cloud\Esegui query CMPivot Visualizza la pagina CMPivot per i dispositivi collegati al cloud di Configuration Manager Endpoint Security Manager, amministratore dell'istituto di istruzione, operatore help desk
Dispositivi collegati al cloud\Visualizza dettagli client Visualizza la pagina Dettagli client per i dispositivi collegati al cloud di Configuration Manager Application Manager, Endpoint Security Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Policy Profile Manager, Operatore help desk
Dispositivi collegati al cloud\Visualizza applicazioni Visualizza la pagina Applicazioni per i dispositivi collegati al cloud di Configuration Manager Application Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Responsabile profili criteri, Operatore help desk
Dispositivi collegati al cloud\Eseguire azioni dell'applicazione Visualizza le azioni dell'applicazione nella pagina Applicazioni e consente all'utente di eseguire azioni dell'applicazione nei dispositivi collegati al cloud di Configuration Manager Application Manager, Amministratore dell'istituto di istruzione, Operatore help desk
Attività remote/Ruota BitLockerKeys (anteprima) Avvia una rotazione delle chiavi per le password di ripristino di BitLocker nel dispositivo. Visualizza la pagina Chiavi di ripristino per i dispositivi collegati al cloud di Configuration Manager. Endpoint Security Manager, operatore help desk

Domande frequenti

Gli utenti solo cloud che devono accedere ai dispositivi collegati al tenant in Intune daranno loro accesso?

Sì. Quando un utente è solo cloud, in questo scenario significa che si trova nell'ID Microsoft Entra e può accedere a Intune, l'uso del controllo degli accessi in base al ruolo di Intune consentirà loro di accedere ai dispositivi collegati al tenant.

Cosa accade se al tenant sono connesse più gerarchie di Configuration Manager?

L'impostazione Usa controllo degli accessi in base al ruolo di Intune nell'interfaccia di amministrazione di Microsoft Intune si applica a tutte le gerarchie di Configuration Manager elencate nel tenant.

Cosa accade se le impostazioni di Configuration Manager e Intune non corrispondono?

Se l'interruttore Usa controllo degli accessi in base al ruolo di Intune in Intune è impostato su Disattivato, verrà applicato l'accesso basato sui ruoli di Configuration Manager, anche se la casella di controllo Imponi controllo degli accessi in base al ruolo di Configuration Manager per le richieste della console cloud che interagiscono con Configuration Manager è deselezionata. La disabilitazione dell'opzione Imponi controllo degli accessi in base al ruolo di Configuration Manager per le richieste della console cloud che interagiscono con Configuration Manager non ha alcun effetto finché l'interruttore Usa controllo degli accessi in base al ruolo di Intune in Intune non è impostato su Attivato.

Cosa accade se la gerarchia di test è configurata per l'uso del controllo degli accessi in base al ruolo di Intune, ma la gerarchia di produzione non si trova nello stesso tenant?

L'impostazione Usa controllo degli accessi in base al ruolo di Intune si applica a tutte le gerarchie di Configuration Manager elencate nel tenant. Gli utenti solo cloud possono accedere ai dispositivi collegati al tenant caricati dalla gerarchia di test perché è stata deselezionata anche la casella di controllo per applicare il controllo degli accessi in base al ruolo di Configuration Manager. Se un utente solo cloud tenta di accedere a un dispositivo collegato al tenant caricato dall'ambiente di produzione, riceverà un errore perché i dispositivi di produzione applicano il controllo degli accessi in base al ruolo di Configuration Manager. L'utente solo cloud riceverà un errore simile al messaggio seguente: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.

Passaggi successivi

  • Esaminare la sequenza temporale per un dispositivo collegato al cloud
  • Eseguire una query CMPivot in un dispositivo collegato al cloud